NO_MORE_RANSOM - miten purkaa salattuja tiedostoja?

Loppuvuodesta 2016, maailma hyökkäsi hyvin mitättömiä-troijalainen virus salaa asiakirjoja ja multimediasisältöä, dubattuna NO_MORE_RANSOM. Miten purkaa tiedostoja altistumisen jälkeen tätä uhkaa, ja siitä keskustellaan edelleen. Kuitenkin, kun on tarpeen varoittaa kaikille käyttäjille, jotka ovat hyökänneet, että ei ole olemassa yhtä menetelmää. Tämä on yhdistetty yksi kehittyneitä salausalgoritmeja, ja aste viruksen läpitunkeutumisen tietokonejärjestelmään, tai jopa lähiverkon (vaikka aluksi verkkoon vaikutuksia, ja se ei ole laskettu).

Mikä NO_MORE_RANSOM virus ja miten se toimii?

Yleensä virus itse luokka troijalaisia kuten Minä rakastan sinua, joka tunkeutua tietokonejärjestelmään ja salaamalla käyttäjän tiedostot (yleensä multimedia). Kuitenkin, jos isovanhempi erosivat vain salausta, tämä virus on hyvin paljon lainattu kerran sensaatiomainen uhka nimeltään DA_VINCI_COD yhdistäminen itsessään toimii myös extortionist.

Infektion jälkeen valtaosa äänitiedostoja, video-, grafiikka- ja Office-asiakirjoja annetaan hyvin pitkä nimi jatkeella NO_MORE_RANSOM, joka sisältää monimutkaisen salasanan.

Avattaessa näyttöön tulee viesti, että tiedostot on salattu ja salauksen tuotteen joudut maksamaan jonkin summan.

Uhkana tunkeutua järjestelmään?

Jätetään yksin kysymykseen siitä, miten törmäyksen jälkeen NO_MORE_RANSOM purkaa tiedostoja tahansa edellä mainitut, ja kääntyä tekniikkaa tunkeutuu virus tietokonejärjestelmään. Valitettavasti, kuten tylsä kuin se saattaakin kuulostaa, se käyttää vanhanaikaisella tavalla: sähköpostitse mukana liitetiedosto avataan, käyttäjä saa aktivointi ja haittaohjelmia.

Omaperäisyys, kuten näemme, tämä tekniikka ei ole eroa. Kuitenkin viesti voidaan naamioida merkityksetöntä tekstiä mitään. Tai päinvastoin, esimerkiksi kun kyseessä on suuremmissa yrityksissä, - muutos tehdyn sopimuksen ehtoja. On selvää, että tavallinen virkailija avaa liitteen, minkä jälkeen ja saa huonoja tuloksia. Yksi kirkkaimmista soihdut tuli suosittu salaus paketti emäkset 1C tietoja. Ja tämä on vakava asia.

NO_MORE_RANSOM: miten tulkita asiakirjoja?

Mutta silti sen arvoista kääntyä pääkysymys. Varmasti jokainen on kiinnostunut siitä, miten purkaa tiedostot. NO_MORE_RANSOM viruksella on sekvenssi toimia. Jos käyttäjä yrittää suorittaa salauksen heti infektion jälkeen, jotta se jotain muuta kuin mahdollista. Jos uhka on tukevasti asettunut järjestelmässä valitettavasti ilman apua ammattilaiset voivat tehdä. Mutta ne ovat usein voimattomia.

Jos uhka on havaittu ajoissa, tapa vain yksi - soveltaa virustentorjuntaohjelmistoyritykset tuki (mutta ei kaikki tiedostot on salattu) lähettää parin saavuttamattomissa tiedostojen avaamiseen ja pohjalta alkuperäisen analyysin tallennettu irrotettava joukkoviestimet, yritä palauttaa jo tartunta asiakirjoja aiemmin kopiointi samaan USB-muistitikku mitä muuta on tarjolla avata (vaikka täysi takuu siitä, että virus ei ole levinnyt tällaisia asiakirjoja ei ole sama). Sen jälkeen, että kantaja kanta on tarpeen tarkistaa ainakin virustutkaimien (ties mitä).

algoritmi

Meidän pitäisi myös mainita, että salata virus käyttää RSA-3072-algoritmi, joka, toisin kuin aiemmin käytetyn RSA-2048 tekniikka on niin monimutkaista, että valinta oikea salasana vaikka oletettaisiin, että tämä käsittelee koko ehdolliset virustorjuntaohjelmien labs se voi kestää kuukausia tai vuosia. Siten kysymys siitä, miten tulkita NO_MORE_RANSOM, vaativat varsin aikaa vievää. Mutta mitä jos sinun täytyy palauttaa tiedot välittömästi? Ensinnäkin - poistaa viruksen itse.

Onko mahdollista poistaa viruksen ja miten se tehdään?

Oikeastaan se ei ole vaikea tehdä. Päätellen ylimielisyyttä viruksen luojia, uhka tietokonejärjestelmä ei ole peitetty. Päinvastoin - se jopa kannattava "samoudalitsya" päätyttyä edellä mainittuja toimia.

Kuitenkin aluksi, jalanjäljissä viruksen, se silti on neutraloitava. Ensimmäinen askel on käyttää kannettavaa suojaavaa apuohjelmia, kuten KVRT, Malwarebytes, tohtori Web CureIt! ja vastaavat. Huom testata ohjelman pitäisi olla kannettavaa tyyppiä on pakollista (asentamatta mitään kiintolevylle juoksevalla optimaalisesti irrotettava media). Jos uhka havaitaan, se olisi poistettava heti.

Jos tällainen toiminta ei ole säädetty, sinun on ensin mennä "Task Manager" ja lopuksi se kaikki prosessit liittyvät virus, lajiteltu palvelun nimi (yleensä, prosessi Runtime Broker).

Poistamisen jälkeen ongelma, meidän on pyydettävä Registry Editor (regedit valikosta "Suorita") ja etsi otsikko «Client Server Runtime System» (ilman lainausmerkkejä), ja käyttämällä sitten siirtyä valikon tuloksista "Etsi seuraava ..." poistaa kaikki löydetyt kohteet. Seuraavaksi sinun täytyy käynnistää tietokone ja uskoa "Task Manager" nähdä, jos on vaadittu prosessi.

Periaatteessa kysymys siitä, miten tulkita NO_MORE_RANSOM virus on edelleen tartunnan vaihe, ja voidaan ratkaista tällä menetelmällä. Todennäköisyys neutralointi, on tietenkin pieni, mutta on olemassa mahdollisuus.

Miten purkaa tiedostoja salatun NO_MORE_RANSOM: varmuuskopiot

Mutta on toinen menetelmä, jota harva tietää tai edes arvata. Se, että käyttöjärjestelmä luo jatkuvasti oman varjonsa varmuuskopioita (esimerkiksi tapauksessa palautus) tai tietoisesti luomaan tällaisen kuvia. Kuten käytäntö osoittaa, tämä virus ei vaikuta näihin: sta (sen rakenne, se ei yksinkertaisesti ole, vaikka se on mahdollista).

Siten ongelma, miten tulkita NO_MORE_RANSOM, kiehuu jotta käyttämään tätä merkkiä. Kuitenkin käyttää Windows vakiotyökaluilla ei suositella tätä (ja monet käyttäjät piilotettu kopioita ei ole pääsyä lainkaan). Siksi sinun täytyy käyttää apuohjelmaa ShadowExplorer (se on kannettava).

Palauttaa, yksinkertaisesti ajaa suoritettavan ohjelmatiedoston, lajitella tiedot päivämäärän tai nimen, valitse kopioida (tiedostoja, kansioita tai koko järjestelmä) ja sen kautta PCM valikosta käyttää vientiä linjaa. Edelleen yksinkertaisesti valittu hakemisto, johon nykyinen kopio tallennetaan ja sitten käyttää standardi toipuminen.

Kolmannen osapuolen työkaluja

Tietenkin ongelma, miten tulkita NO_MORE_RANSOM, monet laboratoriot tarjota omia ratkaisuja. Esimerkiksi "Kaspersky Lab" suosittelee käyttämään omaa ohjelmistotuotetta Kaspersky Decryptor esitteli kaksi versiota - Rakhini ja rehtori.

Yhtä mielenkiintoinen näyttää ja samanlainen kehitys kuin NO_MORE_RANSOM dekooderi Dr. Web. Mutta tässä se on tarpeen välittömästi otettava huomioon, että tällaisten ohjelmien on perusteltua ainoastaan siinä tapauksessa, että nopeasti uhkien havaitsemista, mutta ei kaikki tiedostot ovat saaneet tartunnan. Jos virus lujasti ankkuroitu järjestelmään (kun salattuja tiedostoja vain ei voi verrata niiden salaamattomana alkuperäiset), ja tällainen soveltaminen saattaa olla hyödytön.

Seurauksena

Itse asiassa, johtopäätös on vain yksi: taistella virusta täytyy olla yksinomaan tartunnan vaihe, kun on vain ensimmäinen salata tiedostoja. Yleensä se ei kannata avata liitetiedostoja sähköpostiviestien saadut epäilyttävä (tämä koskee vain asiakkaita, asentaa suoraan tietokoneeseen - Outlook, Oulook Express jne). Lisäksi, jos työntekijällä on käytettävissään luettelo asiakkaiden ja kumppaneiden käsitellä avaamista "Left" -viestejä se on aivan sopimatonta, sillä useimmat palkata merkki vaitiolosopimukset liikesalaisuuksista, ja tietoverkkojen turvallisuudesta.